01
直接アクセス
システムを検査し、トレードオフを指定して作業を行うエンジニアと直接話し合います。
私たちが解決するもの
悪意のあるサンプルを、防御者やエンジニアがすぐに使用できる運用知識に変換します。
悪意のあるサンプルを、防御者とエンジニアがすぐに使用できる運用知識に変換します。 マルウェアが何をするのか、何を触るのか、どのように存続するのか、どのように通信するのか、最初に何をすべきかをマッピングします。
それは通常次のように表示されます 不審なファイルまたは実際のインシデント サンプル内の未知の動作, 実際の機能を隠すパック化または難読化されたペイロード, 限られた時間と不完全な証拠によるインシデント対応のプレッシャー, and SOC、DFIR、エンジニアリング チーム全体にわたるインテルの断片化.
得られるもの
- 実行フロー、永続性、外部通信をカバーする動作プロファイル
- ペイロードの段階、回避、伝播、ターゲットへの影響に関する能力マップ
- YARA、IOC、実用的な観測値を含む検出出力
- インシデント、製品、インフラストラクチャ チーム向けの封じ込めガイダンス
- PDF 証拠としてアーカイブされるだけでなく、運用に役立つ脅威インテリジェンス パッケージ
方法と適用範囲
分析範囲
- Windows、Linux、macOS、ファームウェア、および組み込みマルウェアのターゲット
- サンプルの動作に応じた静的、動的、およびハイブリッドのワークフロー
- マルチステージのペイロード、ローダー、ドロッパー、永続化ロジック
- コマンドアンドコントロールのパターン、構成の抽出、プロトコルのレビュー
動作出力
- IOC、YARA、および環境固有のオブザーバブル
- IR、SOC、エンジニアリングの引き継ぎに関する行動の物語
- 顧客またはリーダーとのコミュニケーションの範囲と影響に関するメモ
- 実際の攻撃者のパスに基づいた強化の推奨事項
典型的な使用例
- ライブインシデントのサポートと不審なファイルのエスカレーション
- 製品のセキュリティとプラットフォームの不正使用の調査
- 脅威インテリジェンスの強化と家族の追跡
- 検出エンジニアリングと防御制御の検証
商業的価値
- 迅速な封じ込めと調査時間の短縮
- セキュリティ イベント中の顧客とパートナーのコミュニケーションの向上
- 製品と運用全体にわたる強力な検出深度
- 証拠に裏付けられた強化により繰り返しの暴露を削減
02
限界のある最初のステップ
ほとんどのエンゲージメントは、膨大な範囲を保持するのではなく、レビュー、監査、プロトタイプ、または焦点を絞ったビルドから始まります。
03
証拠第一
より明確な範囲、より明確な優先順位、そして精査の下で企業が守ることができる次の動きを持って退職します。
配達
先輩主導
直接的な技術コミュニケーション
カバレッジ
AI、システム、セキュリティ
スタック全体にわたる 1 つのチーム
市場
ヨーロッパ、アメリカ、シンガポール
主要なエンジニアリングハブにわたるクライアント
個人データ
プライバシーを厳守
GDPR、英国 GDPR、CCPA/CPRA、PIPEDA、DPA/SCC 対応